Меню

Что такое аудит windows 10

Содержимое

Режим аудита Windows 10

Windows 10, режим аудита, администратор

Загрузка Windows 10 в режиме аудита или запуск при первом включении компьютера подразумевает под собой два способа. Загрузка в режиме аудита вручную осуществляется при отображении приветствия на экране – здесь необходимо нажать SHIFT+CTRL+F3. Также можно выполнить настройки Sysprep. Для этого такая команда должна быть введена вместе с параметром /audit. В ходе автоматической установки задайте для параметра Deployment\Reseal\Mode такое значение, как /audit. Если же у компьютера изначально выполнены настройки в режиме аудита, то они будут сохраняться до тех пор, пока не выполнится запуск с экраном стандартного приветствия.

Общие сведения о режиме аудита

Настройка Windows в режиме аудита открывает довольно широкие возможности. Так, производители оборудования, сборщики системы, корпорации могут быстро выполнять настройку установки системы. Режим аудита Windows 10 позволяет устанавливать различные приложения, также можно добавлять драйверы для устройств или проверять, правильно ли установлена Windows. В большинстве случаев во время загрузки пользователь сначала видит экран приветствия, но если вход происходит в режиме аудита, то сразу же загружается рабочий стол для компьютера. Соответственно, процесс настройки происходит намного быстрее.

Проверить работоспособность компьютера также можно, если запущена работа в режиме аудита. Это является необходимостью, если нужно доставить исправное оборудование заказчику. В процессе установки Windows очень важным компонентом может считаться специальная утилита под названием Sysprep. Это такой вид программы, который предназначен для подготовки системы в ходе установки Windows, чтобы происходило дублирование дисков, поставок заказчикам и аудита. Дублирование – это создание образов, которые позволяют сохранять настраиваемый образ системы. В дальнейшем его можно снова применять в организации. Утилита Sysprep применяется только для новых установок системы Windows. В последующем ее можно будет запускать столько раз, сколько это потребуется. Преимущества такой программы неоспоримы. В первую очередь можно удалять из ОС системные данные, также можно настраивать систему для загрузки в режиме аудита. Кроме того, можно использовать утилиту для загрузки в таком режиме, для загрузки в режиме приветствия Windows, а также для сброса активации операционной системы.

Автоматическая загрузка в режиме аудита при новой установке возможна в том случае, если на этапе oobeSystem добавить Microsoft-Windows-Deployment. В специальном параметре под названием Reseal | Mode нужно добавить аудит. После установки системы у компьютера будет выполнена перезагрузка, но уже в режиме аудита.

Создание своей сборки Windows 10 с предустановленным программным обеспечением в режиме аудита или же для того, чтобы работал режим аудита Windows 7 – это в некоторых случаях очень актуальная и необходимая вещь. Сначала нужно установить VirtualBox, а затем виртуальную машину ОС. После происходит автоматическая загрузка в режиме аудита из существующего образа, устанавливается ОС на виртуалку. Последняя фаза установки должна сопровождаться нажатием комбинации Ctrl+Shift+F3. Автоматически параметры будут перестроены на загрузку в режиме аудита. Преимущества использования режима аудита позволяют загружать и удалять различные программы, экспериментировать с системой, завершать работу компьютера. Когда будут установлены все необходимые программы в соответствующем разделе, запускается утилита Sysprep.

Также очень важно обеспечить себя такими инструментами, как комплект средств для развертывания Windows (Windows ADK), которые представляют собой средства для развертывания, настройки и оценки ОС.

Изменение параметров автоматической установки в режиме аудита

Чтобы изменить такие параметры, необходимо создать новый файл, предназначенный для автоматической установки. Сначала нужно открыть диспетчер установки и создать новый файл. Потом в такой файл ответов добавить параметры, требующие изменения. Файл сохраняется на переносном устройстве, например, это может быть флешка сисадмина. Режим аудита в таком случае будет запущен на другом компьютере сразу после подключения устройства и запуска Sysprep.

Источник статьи: http://helpit.me/articles/rezhim-audita-windows-10

Аудит системных событий Audit system events

Область применения Applies to

Определяет, следует ли выполнять аудит, когда пользователь перезапускается или завершает работу компьютера, или когда возникает событие, которое влияет на безопасность системы или журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.

Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ . To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию Default:

  • Успех на контроллерах домена. Success on domain controllers.
  • Без аудита на рядовых серверах. No auditing on member servers.

Настройка этого параметра аудита Configure this audit setting

Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\аудит. You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Источник статьи: http://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/basic-audit-system-events

Вопросы и ответы по расширенному аудиту безопасности Advanced security auditing FAQ

Область применения Applies to

В этой статье для ИТ – специалистам перечислены вопросы и ответы о том, как понимать, развертывать и управлять политиками аудита безопасности. This topic for the IT professional lists questions and answers about understanding, deploying, and managing security audit policies.

Что такое аудит безопасности Windows и почему его можно использовать? What is Windows security auditing and why might I want to use it?

Аудит безопасности — это месодикал исследование и пересмотр действий, которые могут повлиять на безопасность системы. Security auditing is a methodical examination and review of activities that may affect the security of a system. В операционных системах Windows аудит безопасности более узко определен как функции и службы, позволяющие администратору регистрировать и просматривать события для определенных действий, связанных с безопасностью. In the Windows operating systems, security auditing is more narrowly defined as the features and services that enable an administrator to log and review events for specified security-related activities.

Сотни событий, возникающих в качестве операционной системы Windows, и приложения, которые выполняются на нем, выполняют свои задачи. Hundreds of events occur as the Windows operating system and the applications that run on it perform their tasks. Наблюдение за этими событиями может предоставить ценные сведения, помогающие администраторам в решении проблем, связанных с безопасностью. Monitoring these events can provide valuable information to help administrators troubleshoot and investigate security-related activities.

В чем разница между политиками аудита, расположенными в локальной политике ПолиЦиес\аудит и политиками аудита, которые находятся в конфигурации расширенной политики аудита? What is the difference between audit policies located in Local Policies\Audit Policy and audit policies located in Advanced Audit Policy Configuration?

Основные параметры политики аудита безопасности в Сеттингс\локал ПолиЦиес\аудит политики безопасности и расширенной политики аудита безопасности в сеттингс\адванцед политики аудита, которые конфигуратион\систем политики аудита , отображаются для перекрываются, но они записываются и применяются по-разному. The basic security audit policy settings in Security Settings\Local Policies\Audit Policy and the advanced security audit policy settings in Security Settings\Advanced Audit Policy Configuration\System Audit Policies appear to overlap, but they are recorded and applied differently. При применении основных параметров политики аудита к локальному компьютеру с помощью оснастки локальной политики безопасности (secpol. msc) вы редактируете действующую политику аудита, поэтому изменения, вносимые в параметры базовой политики аудита, будут отображаться точно так же, как настроено в Auditpol. exe. When you apply basic audit policy settings to the local computer by using the Local Security Policy snap-in (secpol.msc), you are editing the effective audit policy, so changes made to basic audit policy settings will appear exactly as configured in Auditpol.exe.

В этих двух регионах есть ряд дополнительных различий между параметрами политики аудита безопасности. There are a number of additional differences between the security audit policy settings in these two locations.

В разделе » Расширенные политики аудита» сеттингс\локал политики и параметры политики аудита можно настроить девять основных параметров политик проверки безопасности. There are nine basic audit policy settings under Security Settings\Local Policies\Audit Policy and settings under Advanced Audit Policy Configuration. Параметры, доступные в конфигурации политики аудита безопасности сеттингс\адванцед , устраняют проблемы, такие как девять основных параметров в локальной политике полиЦиес\аудит, но они позволяют администраторам быть более селективными в числе и типах события для аудита. The settings available in Security Settings\Advanced Audit Policy Configuration address similar issues as the nine basic settings in Local Policies\Audit Policy, but they allow administrators to be more selective in the number and types of events to audit. Например, базовая политика аудита предоставляет единый параметр для входа в учетную запись, а Расширенная политика аудита — четыре. For example, the basic audit policy provides a single setting for account logon, and the advanced audit policy provides four. Включение одной простой учетной записи может быть эквивалентно установке всех четырех дополнительных параметров входа в учетную запись. Enabling the single basic account logon setting would be the equivalent of setting all four advanced account logon settings. При сравнении установка одного расширенного параметра политики аудита не приводит к созданию событий аудита для действий, которые вы не хотите отслеживать. In comparison, setting a single advanced audit policy setting does not generate audit events for activities that you are not interested in tracking.

Кроме того, если вы включите аудит успехов для основного параметра Аудит событий входа в систему, будут регистрироваться только события, связанные с учетной записью для входа в систему. In addition, if you enable success auditing for the basic Audit account logon events setting, only success events will be logged for all account logon–related behaviors. В зависимости от потребностей Организации вы можете настроить аудит успехов для одной расширенной учетной записи, аудит отказов для второй дополнительной настройки входа в учетную запись, аудит успехов и отказов для третьего дополнительного входа учетной записи. параметр или без аудита. In comparison, depending on the needs of your organization, you can configure success auditing for one advanced account logon setting, failure auditing for a second advanced account logon setting, success and failure auditing for a third advanced account logon setting, or no auditing.

Девять основных параметров, которые описаны в разделе Безопасность Сеттингс\локал полиЦиес\аудит , появились в Windows 2000. The nine basic settings under Security Settings\Local Policies\Audit Policy were introduced in Windows 2000. Таким образом, они доступны во всех версиях Windows, выпущенных с этого момента. Therefore, they are available in all versions of Windows released since then. Параметры политики расширенной проверки были введены в Виндовсвиста и Windows Server2008. The advanced audit policy settings were introduced in WindowsVista and Windows Server2008. Дополнительные параметры можно использовать только на компьютерах, использующих Windows7, Windows Server 2008 и более поздних версий. The advanced settings can only be used on computers running Windows7, Windows Server 2008, and later.

Что такое взаимодействие между базовыми параметрами политики аудита и расширенными параметрами политики аудита? What is the interaction between basic audit policy settings and advanced audit policy settings?

Основные параметры политики аудита несовместимы с расширенными параметрами политики аудита, применяемыми с помощью групповой политики. Basic audit policy settings are not compatible with advanced audit policy settings that are applied by using Group Policy. После применения расширенных параметров политики аудита с помощью групповой политики параметры политики аудита на данном компьютере очищаются, пока не будут применены более сложные параметры политики аудита. When advanced audit policy settings are applied by using Group Policy, the current computer’s audit policy settings are cleared before the resulting advanced audit policy settings are applied. После применения расширенных параметров политики аудита с помощью групповой политики вы можете только надежно настроить политику аудита системы для компьютера с помощью параметров политики расширенной проверки. After you apply advanced audit policy settings by using Group Policy, you can only reliably set system audit policy for the computer by using the advanced audit policy settings.

Изменение и применение параметров расширенной политики аудита в локальной политике безопасности приводит к изменению локального объекта групповой политики (GPO), поэтому изменения, внесенные здесь, могут не отображаться в средстве Auditpol. exe в соответствии с политиками из других GPO домена или сценариев входа. Editing and applying the advanced audit policy settings in Local Security Policy modifies the local Group Policy Object (GPO), so changes made here may not be exactly reflected in Auditpol.exe if there are policies from other domain GPOs or logon scripts. Оба типа политик можно изменять и применять с помощью объектов групповой политики домена, и эти параметры будут переопределять любые конфликтующие параметры локальной политики аудита. Both types of policies can be edited and applied by using domain GPOs, and these settings will override any conflicting local audit policy settings. Тем не менее, поскольку основные политики аудита записываются в действующей политике аудита, она должна быть явно удалена, когда нужно изменить или она останется в действующей политике аудита. However, because the basic audit policy is recorded in the effective audit policy, that audit policy must be explicitly removed when a change is desired, or it will remain in the effective audit policy. Изменения политики, которые применяются в локальной или доменной параметрах групповой политики, отображаются сразу после применения новой политики. Policy changes that are applied by using local or domain Group Policy settings are reflected as soon as the new policy is applied.

Важноли применять расширенные политики аудита с помощью групповой политики или сценариев входа, не используйте параметры базовой политики аудита в разделе локальные полиЦиес\аудит и дополнительные параметры в разделе Параметры безопасности. Настройка политики аудита \адванцед. ImportantWhether you apply advanced audit policies by using Group Policy or by using logon scripts, do not use both the basic audit policy settings under Local Policies\Audit Policy and the advanced settings under Security Settings\Advanced Audit Policy Configuration. Использование расширенных и основных параметров политики аудита может привести к неожиданным результатам в отчетах аудита. Using both advanced and basic audit policy settings can cause unexpected results in audit reporting.

Если вы используете расширенные параметры настройки политики аудита или используете сценарии входа для применения расширенных политик аудита, не забудьте включить Аудит: принудительно задать параметры подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения политики настройки параметров категории политики аудита. Настройка в разделе локальные параметры полиЦиес\секурити. If you use Advanced Audit Policy Configuration settings or use logon scripts to apply advanced audit policies, be sure to enable the Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings policy setting under Local Policies\Security Options. Это предотвратит конфликт между сходными параметрами, вызывая пропуск основного аудита безопасности. This will prevent conflicts between similar settings by forcing basic security auditing to be ignored.

Как объединены параметры аудита групповой политикой? How are audit settings merged by Group Policy?

По умолчанию параметры политики, заданные в GPO и связанные с более высокими уровнями сайтов Active Directory, доменов и подразделений, наследуются всеми подразделениями на нижних уровнях. By default, policy options that are set in GPOs and linked to higher levels of Active Directory sites, domains, and OUs are inherited by all OUs at lower levels. Однако унаследованную политику можно переопределить с помощью объекта групповой политики, связанного с более низким уровнем. However, an inherited policy can be overridden by a GPO that is linked at a lower level.

Например, вы можете использовать объект групповой политики домена, чтобы назначить группу параметров аудита всей Организации, но в определенном подразделении требуется получить определенную группу дополнительных параметров. For example, you might use a domain GPO to assign an organization-wide group of audit settings, but want a certain OU to get a defined group of additional settings. Для этого вы можете связать второй объект групповой политики с этим конкретным подразделением нижнего уровня. To accomplish this, you can link a second GPO to that specific lower-level OU. Таким образом, параметр аудита для входа в систему, примененный на уровне подразделения, будет переопределять конфликтный параметр аудита входа, примененный на уровне домена (если вы не предпринимали дополнительные действия по применению обработки замыкания групповой политики). Therefore, a logon audit setting that is applied at the OU level will override a conflicting logon audit setting that is applied at the domain level (unless you have taken special steps to apply Group Policy loopback processing).

Правила, определяющие порядок применения параметров групповой политики, распространяются на уровень подкатегории параметров политики аудита. The rules that govern how Group Policy settings are applied propagate to the subcategory level of audit policy settings. Это означает, что параметры политики аудита, настроенные в разных объектах групповой политики, объединяются, если не заданы параметры политики на более низком уровне. This means that audit policy settings configured in different GPOs will be merged if no policy settings configured at a lower level exist. Это поведение показано в приведенной ниже таблице. The following table illustrates this behavior.

Подкатегория «Аудит» Auditing subcategory Настройка, настроенная в объекте групповой политики подразделения (более высокий приоритет) Setting configured in an OU GPO (higher priority) Настройка, настроенная в объекте групповой политики домена (более низкий приоритет) Setting configured in a domain GPO (lower priority) Результирующая политика для целевого компьютера Resulting policy for the target computer
Аудит общего доступа к файлам с подробными сведениями Detailed File Share Auditing Выполнено Success Сбой Failure Выполнено Success
Аудит создания процессов Process Creation Auditing Отключено Disabled Выполнено Success Отключено Disabled
Аудит входа Logon Auditing Сбой Failure Выполнено Success Сбой Failure

В чем разница между списком DACL объектов и списком SACL объекта? What is the difference between an object DACL and an object SACL?

Все объекты в доменных службах ActiveDirectory (добавление) и все защищаемые объекты на локальном компьютере или в сети содержат дескрипторы безопасности, помогающие управлять доступом к объектам. All objects in ActiveDirectory Domain Services (ADDS), and all securable objects on a local computer or on the network, have security descriptors to help control access to the objects. Дескрипторы безопасности содержат сведения о том, кто владеет объектом, кто может получать к нему доступ, а также о том, какие типы доступа подлежат аудиту. Security descriptors include information about who owns an object, who can access it and in what way, and what types of access are audited. Дескрипторы безопасности содержат список управления доступом (ACL) объекта, включающий все разрешения безопасности, применимые к этому объекту. Security descriptors contain the access control list (ACL) of an object, which includes all of the security permissions that apply to that object. Дескриптор безопасности объекта может содержать два типа списков ACL: An object’s security descriptor can contain two types of ACLs:

  • Избирательный список управления доступом (DACL), который определяет пользователей и группы, которым разрешен или запрещен доступ A discretionary access control list (DACL) that identifies the users and groups who are allowed or denied access
  • Системный список управления доступом (SACL), который управляет аудитом доступа A system access control list (SACL) that controls how access is audited

Модель управления доступом, используемая в Windows, администрируется на уровне объекта, настроив разные уровни доступа или разрешения для объектов. The access control model that is used in Windows is administered at the object level by setting different levels of access, or permissions, to objects. Если для объекта настроены разрешения, его дескриптор безопасности содержит список DACL с идентификаторами безопасности (SID) для пользователей и групп, которым разрешен или запрещен доступ. If permissions are configured for an object, its security descriptor contains a DACL with security identifiers (SIDs) for the users and groups that are allowed or denied access.

Если для объекта настроен аудит, его дескриптор безопасности также содержит список SACL, который управляет тем, как аудит подсистемы безопасности пытается получить доступ к объекту. If auditing is configured for the object, its security descriptor also contains a SACL that controls how the security subsystem audits attempts to access the object. Тем не менее, если список SACL не настроен для объекта, а соответствующий параметр политики аудита доступа к объектам настроен и применен, аудит не полностью настроен. However, auditing is not completely configured unless a SACL has been configured for an object and a corresponding Object Access audit policy setting has been configured and applied.

Почему политики аудита применяются отдельно для каждого компьютера, а не для пользователей? Why are audit policies applied on a per-computer basis rather than per user?

В аудите безопасности Windows компьютер, объекты на компьютере и связанные ресурсы являются основными получателями действий на клиентах, включая приложения, другие компьютеры и пользователей. In security auditing in Windows, the computer, objects on the computer, and related resources are the primary recipients of actions by clients including applications, other computers, and users. В случае нарушения безопасности злоумышленники могут использовать другие учетные данные, чтобы скрыть их, или злонамеренные приложения могут олицетворять законных пользователей для выполнения нежелательных задач. In a security breach, malicious users can use alternate credentials to hide their identity, or malicious applications can impersonate legitimate users to perform undesired tasks. Таким образом, наиболее последовательный способ применения политики аудита — это сосредоточиться на компьютере, объектах и ресурсах на этом компьютере. Therefore, the most consistent way to apply an audit policy is to focus on the computer and the objects and resources on that computer.

Кроме того, поскольку возможности политики аудита могут различаться на компьютерах с разными версиями Windows, лучшим способом проверки правильности применения политики аудита является возможность основывать эти параметры на компьютере, а не на пользователе. In addition, because audit policy capabilities can vary between computers running different versions of Windows, the best way to ensure that the audit policy is applied correctly is to base these settings on the computer instead of the user.

Тем не менее, если вы хотите применить параметры аудита только к указанным группам пользователей, это можно сделать, настроив списки SACL для нужных объектов, чтобы включить аудит для группы безопасности, которая будет содержать только указанные вами пользователи. However, in cases where you want audit settings to apply only to specified groups of users, you can accomplish this by configuring SACLs on the relevant objects to enable auditing for a security group that contains only the users you specify. Например, можно настроить список SACL для папки, которая содержит данные Payroll на сервере учета 1. For example, you can configure a SACL for a folder called Payroll Data on Accounting Server 1. Это может попытаться выполнить аудит попыток пользователей подразделения «обработчики зарплаты» для удаления объектов из этой папки. This can audit attempts by members of the Payroll Processors OU to delete objects from this folder. Параметр политики аудита файловой системы для объекта «объект акцесс\аудит » применяется к серверу учетных записей 1, но для него требуется соответствующий список SACL ресурсов, а только действия, которые относятся к подразделению «обработчики зарплаты» в папке «данные зарплаты», создают события аудита. The Object Access\Audit File System audit policy setting applies to Accounting Server 1, but because it requires a corresponding resource SACL, only actions by members of the Payroll Processors OU on the Payroll Data folder generates audit events.

Каковы различия в функциональных возможностях аудита между версиями Windows? What are the differences in auditing functionality between versions of Windows?

Основные параметры политики аудита доступны во всех версиях Windows, начиная с Windows 2000, и могут быть применены на локальном компьютере или с помощью групповой политики. Basic audit policy settings are available in all versions of Windows since Windows 2000, and they can be applied locally or by using Group Policy. В Windows Vista и Windows Server 2008 были введены расширенные параметры политики аудита, но эти параметры можно применять только с помощью сценариев входа в этих версиях. Advanced audit policy settings were introduced in Windows Vista and Windows Server 2008, but the settings can only be applied by using logon scripts in those versions. Параметры политики аудита, которые появились в Windows7 и Windows Server2008R2, можно настраивать и применять с помощью локальных и доменных параметров групповой политики. Advanced audit policy settings, which were introduced in Windows7 and Windows Server2008R2, can be configured and applied by using local and domain Group Policy settings.

Можно ли использовать расширенные политики аудита на контроллере домена под управлением Windows Server 2003 или Windows 2000 Server? Can I use advanced audit policies from a domain controller running Windows Server 2003 or Windows 2000 Server?

Для использования расширенных параметров политики аудита необходимо установить контроллер домена на компьютере под управлением Windows Server 2012 R2, Windows Server 2012, Windows Server2008R2, Windows Server 2008 или Windows Server 2003 с пакетом обновления 2 (SP2). To use advanced audit policy settings, your domain controller must be installed on a computer running Windows Server 2012 R2, Windows Server 2012, Windows Server2008R2, Windows Server 2008, or Windows Server 2003 with Service Pack 2 (SP2). Сервер Windows 2000 не поддерживается. Windows 2000 Server is not supported.

В чем разница между событиями успеха и сбоя? What is the difference between success and failure events? Что делать, если я получил аудит отказов? Is something wrong if I get a failure audit?

Событие успешный аудит инициируется при успешном завершении определенного действия, например доступа к общей папке. A success audit event is triggered when a defined action, such as accessing a file share, is completed successfully.

Событие аудита отказов активируется, когда определенное действие, например вход пользователя, не завершается успешно. A failure audit event is triggered when a defined action, such as a user logon, is not completed successfully.

Внешний вид событий аудита отказов в журнале событий не всегда означает, что что-то пошло не так с системой. The appearance of failure audit events in the event log does not necessarily mean that something is wrong with your system. Например, при настройке событий аудита входа в систему событие сбоя может означать, что пользователь неправильно вводит свой пароль. For example, if you configure Audit Logon events, a failure event may simply mean that a user mistyped his or her password.

Как настроить политику аудита, которая влияет на все объекты на компьютере? How can I set an audit policy that affects all objects on a computer?

Системные администраторы и аудиторы больше всего хотят убедиться, что политика аудита применяется ко всем объектам в системе. System administrators and auditors increasingly want to verify that an auditing policy is applied to all objects on a system. Это было сложно сделать, так как системные списки управления доступом (SACL), управляющие аудитом, применяются к отдельным объектам. This has been difficult to accomplish because the system access control lists (SACLs) that govern auditing are applied on a per-object basis. Таким образом, чтобы убедиться в том, что политика аудита применена ко всем объектам, необходимо проверить все объекты, чтобы убедиться, что изменения не внесены, даже временно в один список SACL. Thus, to verify that an audit policy has been applied to all objects, you would have to check every object to be sure that no changes have been made—even temporarily to a single SACL. В Windows Server2008R2 и Windows7 аудит безопасности позволяет администраторам определять политики аудита доступа к глобальным объектам для всей файловой системы или реестра на компьютере. Introduced in Windows Server2008R2 and Windows7, security auditing allows administrators to define global object access auditing policies for the entire file system or for the registry on a computer. Затем указанные SACL автоматически применяются ко всем объектам этого типа. The specified SACL is then automatically applied to every object of that type. Это может быть полезно для проверки того, что все критические файлы, папки и параметры реестра на компьютере защищены, и для определения момента возникновения проблем с системным ресурсом. This can be useful for verifying that all critical files, folders, and registry settings on a computer are protected, and for identifying when an issue with a system resource occurs. Если на компьютере настроены список SACL для файлов или папок и политика аудита доступа к глобальным объектам (или один и тот же параметр реестра и политика аудита доступа к глобальным объектам), то эффективный список SACL является производным от объединения списка SACL файла или папки и глобального объекта. Политика аудита доступа. If a file or folder SACL and a global object access auditing policy (or a single registry setting SACL and a global object access auditing policy) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the global object access auditing policy. Это означает, что событие аудита генерируется, если действие соответствует либо SACL файла или папки, либо политики аудита доступа к глобальным объектам. This means that an audit event is generated if an activity matches either the file or folder SACL or the global object access auditing policy.

Как узнать, почему кто-то смог получить доступ к ресурсу? How do I figure out why someone was able to access a resource?

Зачастую недостаточно знать, что доступ к объекту, например к файлу или папке. Often it is not enough to know simply that an object such as a file or folder was accessed. Возможно, вам также будет понятно, почему пользователю удалось получить доступ к этому ресурсу. You may also want to know why the user was able to access this resource. Эти данные можно получить, настроив параметр управления дескриптором аудита с помощью файловой системы аудита или с помощью аудита аудита реестра . You can obtain this forensic data by configuring the Audit Handle Manipulation setting with the Audit File System or with the Audit Registry audit setting.

Как узнать, когда вносятся изменения в параметры управления доступом, а также о том, какие изменения были внесены? How do I know when changes are made to access control settings, by whom, and what the changes were?

Чтобы отслеживать изменения управления доступом на компьютерах с Windows Server2016, Windows Server 2012 R2, Windows Server 2012 Windows7, Windows Server2008R2, Windows Vista или Windows Server 2008, необходимо включить следующие параметры, которые отслеживают изменения DACL. To track access control changes on computers running Windows Server2016, Windows Server 2012 R2, Windows Server 2012 Windows7, Windows Server2008R2, Windows Vista, or Windows Server 2008, you need to enable the following settings, which track changes to DACLs:

  • Подкатегория файловой системы аудита : включение в случае успеха, отказа, успеха и сбоя Audit File System subcategory: Enable for success, failure, or success and failure
  • Параметр изменения политики авторизации аудита : включение для успешной, неудачи, успешных и неудачных попыток Audit Authorization Policy Change setting: Enable for success, failure, or success and failure
  • Список SACL с разрешениями на запись и владение : применить к объекту, который вы хотите отслеживать A SACL with Write and Take ownership permissions: Apply to the object that you want to monitor

В Windows XP и Windows server2003 необходимо использовать подкатегорию Аудит изменений политики . In Windows XP and Windows Server2003, you need to use the Audit policy change subcategory.

Как отменить политики аудита безопасности из расширенной политики аудита до базовой политики аудита? How can I roll back security audit policies from the advanced audit policy to the basic audit policy?

Применение расширенных параметров политики аудита заменяет все аналогичные базовые параметры политики аудита безопасности. Applying advanced audit policy settings replaces any comparable basic security audit policy settings. Если в дальнейшем вы измените параметр политики расширенной проверки на значение не задано, вам потребуется выполнить следующие действия, чтобы восстановить исходные параметры политики аудита безопасности. If you subsequently change the advanced audit policy setting to Not configured, you need to complete the following steps to restore the original basic security audit policy settings:

  1. Установите для всех подкатегорий дополнительные политики аудита значение не задано. Set all Advanced Audit Policy subcategories to Not configured.
  2. Удалите все файлы Audit. CSV из папки% SYSVOL на контроллере домена. Delete all audit.csv files from the %SYSVOL% folder on the domain controller.
  3. Перенастройте и примените основные параметры политики аудита. Reconfigure and apply the basic audit policy settings.

Если эти действия не выполнены, основные параметры политики аудита не будут восстановлены. Unless you complete all of these steps, the basic audit policy settings will not be restored.

Как отслеживать изменения параметров политики аудита? How can I monitor if changes are made to audit policy settings?

Изменения политик аудита безопасности являются критическими событиями безопасности. Changes to security audit policies are critical security events. Вы можете использовать параметр изменения политики аудита, чтобы определить, будут ли операционная система создавать события аудита при выполнении следующих типов действий: You can use the Audit Audit Policy Change setting to determine if the operating system generates audit events when the following types of activities take place:

  • Изменены разрешения и параметры аудита для объекта политики аудита Permissions and audit settings on the audit policy object are changed
  • Политика аудита системы изменена The system audit policy is changed
  • Регистрация и Отмена регистрации источников событий безопасности Security event sources are registered or unregistered
  • Изменения параметров аудита для отдельных пользователей Per-user audit settings are changed
  • Значение CrashOnAuditFail изменилось The value of CrashOnAuditFail is modified
  • Изменения параметров аудита для файла или раздела реестра Audit settings on a file or registry key are changed
  • Изменен список специальных групп A Special Groups list is changed

Как свести к минимуму количество событий, которые могут возникнуть? How can I minimize the number of events that are generated?

Поиск правильного баланса между аудитом достаточной сети и активности компьютера и аудитом слишком мало активности сети и компьютера может быть непросто. Finding the right balance between auditing enough network and computer activity and auditing too little network and computer activity can be challenging. Вы можете добиться такого баланса, определив наиболее важные ресурсы, важные действия, пользователей или группы пользователей. You can achieve this balance by identifying the most important resources, critical activities, and users or groups of users. Затем разработайте политику аудита безопасности, предназначенную для доступа к этим ресурсам, действиям и пользователям. Then design a security audit policy that targets these resources, activities, and users. Полезные рекомендации и рекомендации по разработке эффективной стратегии аудита безопасности можно найти в статье планирование и развертывание расширенных политик аудита безопасности. Useful guidelines and recommendations for developing an effective security auditing strategy can be found in Planning and deploying advanced security audit policies.

Каковы лучшие инструменты для моделирования политик аудита и управления ими? What are the best tools to model and manage audit policies?

Интеграция расширенных параметров политики аудита с групповой политикой домена, представленной в Windows7 и Windows Server2008R2, разработана для упрощения управления и реализации политик аудита безопасности в сети Организации. The integration of advanced audit policy settings with domain Group Policy, introduced in Windows7 and Windows Server2008R2, is designed to simplify the management and implementation of security audit policies in an organization’s network. Таким образом, средства, используемые для планирования и развертывания объектов групповой политики для домена, также могут использоваться для планирования и развертывания политик аудита безопасности. As such, tools used to plan and deploy Group Policy Objects for a domain can also be used to plan and deploy security audit policies. На отдельном компьютере средство командной строки Auditpol можно использовать для выполнения ряда важных задач управления, связанных с политикой аудита. On an individual computer, the Auditpol command-line tool can be used to complete a number of important audit policy–related management tasks.

Кроме того, существует ряд продуктов для управления компьютером, например служб ACS в продуктах Microsoft System Center Operations Manager, которые можно использовать для сбора и фильтрации данных о событиях. In addition, there are a number of computer management products, such as the Audit Collection Services in the Microsoft System Center Operations Manager products, which can be used to collect and filter event data.

Где можно найти сведения обо всех возможных событиях, которые могут быть получены? Where can I find information about all the possible events that I might receive?

Пользователи, которые просматривают журнал событий безопасности в первый раз, могут быть перегружены количеством событий аудита, которые хранятся там (это может быстро составлять числа в тысячах), так и с помощью структурированных данных, которые включаются для каждого события аудита. Users who examine the security event log for the first time can be a bit overwhelmed by the number of audit events that are stored there (which can quickly number in the thousands) and by the structured information that is included for each audit event. Дополнительные сведения об этих событиях и о параметрах, используемых для их создания, можно получить в следующих ресурсах: Additional information about these events, and the settings used to generate them, can be obtained from the following resources:

Где можно найти подробные сведения? Where can I find more detailed information?

Дополнительные сведения о политиках аудита безопасности можно найти в перечисленных ниже ресурсах. To learn more about security audit policies, see the following resources:

Источник статьи: http://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/advanced-security-auditing-faq


Adblock
detector